Доступ к коммутатору можно ограничить при помощи Management ACL.
...
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).
1. Создать Management ACL с указанием IP-адреса источника:
console#configure
console(config)#management access-list IP
console(config-macl)# permit ip-source 192.168.1.12
console(config-macl)#exit
2. Применить созданный Management ACL:
После создания Management ACL и настройки разрешающих/запрещающих правил в нем необходима активация данного списка доступа для включения ограничения управлением коммутатора. Делается это отдельной командой management access-class <name_ACL>. Для изменения правил фильтрации в ACL необходимо отключение списка доступа командой no management access-class <name_ACL>, после этого появится возможность редактирования правил в нем.
Правила фильтрации можно настроить как по одному отдельному параметру (service, интерфейс, ip-source, VLAN), так и по совокупности этих параметров.
| Информация |
|---|
Примечание: По умолчанию в конце Management ACL применяется негласное правило all other access implicitly denied, соответственно, если способ подключения к коммутатору не подойдет под правила, описанные в Management ACL, такой трафик будет отброшен и подключение к коммутатору будет неуспешным. |
Перечислим список доступных к настройке в правилах фильтрации параметров и приведем пример возможной настройки Management ACL:
1. Тип доступа к коммутатору: Telnet, SNMP, HTTP/HTTPS или SSH.
Пример: разрешим подключение к коммутатору только по Telnet и SNMP с любых физических интерфейсов, src IP-адресов и VLAN, остальные способы подключения при этом будут запрещены:
Создаем Management ACL:
| Блок кода |
|---|
management access-list MGMT
permit service telnet
permit service snmp
|
Применим созданный список контроля доступа на коммутаторе:
| Блок кода |
|---|
management access-class MGMT |
2. IP-source. В правиле фильтрации можно указать IP-адрес или же сеть, с которой/которых будет разрешено/запрещено подключение к коммутатору по Telnet, SNMP, HTTP/HTTPS или SSH.
Пример: разрешим подключение к коммутатору любым типом доступа только из сети 10.10.10.0/24 с любых физических интерфейсов и VLAN, подключения из любых других сетей к коммутатору при этом будут запрещены:
Создаем Management ACL:
| Блок кода |
|---|
management access-list MGMT
permit ip-source 10.10.10.0 mask /24 |
Применим созданный список контроля доступа на коммутаторе:
| Блок кода |
|---|
management access-class MGMT |
3. VLAN. Можем разрешить подключение к коммутатору только устройствам из определенного VLAN, к примеру, VLAN управления.
Пример: разрешим подключение к коммутатору устройствам из VLAN 4000 с любых физических интерфейсов, src IP-адресов и с любым типом доступа, подключение устройств из других VLAN при этом будет запрещено:
Создаем Management ACL:
| Блок кода |
|---|
management access-list MGMT
permit Vlan4000 |
Включаем созданный список контроля доступа на коммутаторе:
| Блок кода |
|---|
management access-class MGMT |
4. Интерфейс. В правилах фильтрации можно указать порт, через который будут приходить запросы на подключение к коммутатору. Доступны варианты указания: физические интерфейсы (параметр зависит от имеющихся портов на конкретной модели коммутатора), Port-channel.
Пример: разрешим подключение к коммутатору устройствам, находящимся за Port-channel 10, с любыми src IP-адресам, любым типом доступа и из любых VLAN. Подключение устройств, запросы на подключение к коммутатору от которых будут поступать на другие интерфейсы коммутатора, при этом будет запрещено:
Создаем Management ACL:
| Блок кода |
|---|
management access-list MGMT
permit Port-Channel10 |
Применим созданный список контроля доступа на коммутаторе:
| Блок кода |
|---|
management access-class MGMT |
Теперь приведем пример создания списка контроля доступа с совокупностью всех данных параметров. Пример: хотим разрешить подключение к коммутатору 1) по SNMP из сети 11.11.11.0/24 с интерфейса Po1, 2) по SSH и Telnet из сети 10.11.12.0/24 с интерфейса Po1, 3) подключение любым способом из VLAN 15. Остальные способы подключения будут блокироваться.
Создаем Management ACL:
| Блок кода |
|---|
management access-list MGMT
permit ip-source 11.11.11.0 mask 255.255.255.0 service snmp Port-Channel1
permit ip-source 10.11.12.0 mask 255.255.255.0 service ssh Port-Channel1
permit ip-source 10.11.12.0 mask 255.255.255.0 service telnet Port-Channel1
permit vlan15 |
Применим созданный список контроля доступа на коммутаторе:
| Блок кода |
|---|
management access-class MGMT |
...
Для просмотра информации по созданным и примененным листам необходимо воспользоваться следующими show-командами
...
:
| Блок кода |
|---|
...
show management access-list |
...
MGMT ---- |
...
permit ip-source 11.11.11.0 mask 255.255.255.0 port-channel 1 service snmp permit ip-source 10.11.12.0 mask 255.255.255.0 port-channel 1 service ssh permit ip-source 10.11.12.0 mask 255.255.255.0 port-channel 1 service telnet permit vlan 15 ! (Note: all other access implicitly denied) console-only ------------ |
...
deny |
...
! (Note: all other access implicitly denied) |
...
|